Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 (firmware do wersji 1.19.5) umożliwia nieautoryzowanemu atakującemu uzyskanie hasła konta e-mail skonfigurowanego w urządzeniu. Krytyczny poziom CVSS 10.0 wskazuje na brak jakichkolwiek wymagań wstępnych po stronie atakującego, co czyni tę lukę szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
Email Password Disclosure.This issue affects BLU-IC2: through 1.19.5; BLU-IC4: through 1.19.5.
Podatność sklasyfikowana jako CWE-200 (Exposure of Sensitive Information to an Unauthorized Actor) polega na tym, że urządzenie ujawnia hasło e-mail w sposób dostępny dla nieuwierzytelnionego atakującego zdalnego. Wektor ataku sieciowy bez wymagań dotyczących uwierzytelnienia, interakcji użytkownika ani szczególnych warunków oznacza, że exploit może być przeprowadzony przez sieć bez żadnych uprawnień. Szczegółowy mechanizm ujawnienia (np. odpowiedź API, interfejs webowy, niezaszyfrowana transmisja) nie został sprecyzowany w opisie producenta.
Atakujący może uzyskać dostęp do hasła konta e-mail skonfigurowanego w urządzeniu, co może prowadzić do przejęcia konta pocztowego, dalszego ruchu lateralnego w sieci oraz naruszenia poufności, integralności i dostępności zarówno systemu docelowego, jak i systemów powiązanych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://azure-access.com/security-advisories. Do czasu aktualizacji firmware zaleca się izolację urządzeń od publicznych sieci sieciowych oraz ograniczenie dostępu do nich wyłącznie do zaufanych segmentów sieci.
Azure-Access BLU-IC2 z firmware w wersji do 1.19.5 włącznie oraz Azure-Access BLU-IC4 z firmware w wersji do 1.19.5 włącznie.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAzure Access Blu Ic2
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic2 Firmware
OSAzure-Access< 1.20Azure Access Blu Ic4
HWAzure-Accesswszystkie wersjeAzure Access Blu Ic4 Firmware
OSAzure-Access< 1.20
Powiązane podatności
Krytyczna podatność Web UI w urządzeniach Azure-Access BLU-IC2/IC4
Współdzielenie statycznych sekretów SDKSocket w urządzeniach Azure-Access BLU-IC2/IC4
Podatność DoS (SlowLoris) w Azure-Access BLU-IC2 i BLU-IC4
Wyłączona weryfikacja certyfikatu serwera e-mail w Azure-Access BLU-IC2/IC4
Brak obsługi błędów HTTP 5xx w Azure-Access BLU-IC2 i BLU-IC4